perjantai 9. joulukuuta 2011

Osuuspankki huononsi verkkopalveluaan - "turvallisuuden" nimissä

Osuuspankin verkkopalvelu on ollut mutkattomampi kuin muiden pankkien vastaavat: kirjaudut sisään, annat salasanan, annat vaihtuvan salasanan ja sen jälkeen pääset tekemään töitä. Muissa pankeissa (ainakin S-pankki ja Nordea) avainlukua joutuu syöttämään vähän väliä.

Kirjauduin tänään Osuuspankin verkkopankkiin, ja mikäs sieltä pomppasikaan silmille:

Turvallisuutesi vuoksi: hyväksyt maksut jatkossa avainluvulla

OP-verkkopalveluiden turvatasoa on nostettu. Käytössä ovat seuraavat turvaominaisuudet: maksun hyväksyntä avainluvulla sekä entistä näkyvämpi suojausmekanismi. Osasta maksuja voidaan pyytää lisävahvistusta tekstiviestillä.

Näin hyväksyt maksut avainluvulla

Jatkossa OP-verkkopalvelu pyytää sinua antamaan avainluvun maksua hyväksyessäsi. Rahat siirtyvät eteenpäin vasta kun olet antanut avainluvun ja valinnut "Hyväksy".

Osasta maksuja maksutiedot tekstiviestillä tarkistettavaksi

Voit saada lisävahvistuspyynnön osasta maksuja. Silloin sinulle lähetetään tekstiviestillä matkapuhelimeesi pankin saamat maksutiedot sekä avainlukulistan luku.

Kun tarkistat, että viestissä olevat tiedot ovat oikein, voit varmistaa, etteivät rikolliset ole päässeet väärentämään tietoja tietokoneellesi päässeen haittaohjelman avulla.

    Jos maksutiedot ovat oikein, voit hyväksyä maksun OP-verkkopalvelussa tekstiviestissä ilmoitettua lukua vastaavalla avainluvulla.

    Jos tiedot ovat väärin, keskeytä OP-verkkopalvelun käyttö ja ota yhteyttä 0100 0500 puhelinpalveluun.

Jotta maksun hyväksyminen onnistuu myös silloin kun saat lisävahvistuspyynnön, sinun täytyy ilmoittaa op.fi:ssä matkapuhelinnumero, johon tekstiviestit haluat.

    Toimi heti: ilmoita matkapuhelinnumerosi maksun lisävahvistusta varten (valitse kohta Maksun lisävahvistus > Ota käyttöön)

Entistä näkyvämpi turvasertifikaatti käyttöön 12.12. alkaen

Useimmissa selaimissa uusi turvasertifikaatti näkyy niin että osoitepalkissa näkyy vihreää ja osoitteen vieressä näkyy palvelun omistajana OP-Pohjola Osk. Niistä voit varmistaa, että asioit oikeassa OP-verkkopalvelussa.

Miksi muutokset tehdään?

Verkkorikolliset yrittävät entistä aktiivisemmin huijata rahaa myös suomalaisten pankkien asiakkailta. Kehitämme OP-verkkopalveluiden turvallisuutta jatkuvasti huijausyrityksiä vastaan ja otamme uusia turvallisuusominaisuuksia käyttöön.

Verkkoasioinnin turvallisuus riippuu myös sinun omasta toiminnastasi ja käyttämäsi tietokoneen turvallisuudesta.

    Kertaa ohjeet verkkoasioinnin turvallisuudesta

    Siirry etusivulle
Kysymys kuuluu: mikä hyöty tästä on, noin turvallisuuden kannalta? Verkkorikollinen joutuu rahoihin käsiksi päästäkseen joka tapauksessa urkkimaan selville
  • käyttäjätunnuksen
  • salasanan
  • riittävän määrän vaihtuvia avainlukuja, koska verkkopankki kysyy jonkun umpimähkäisen salasanan kolmensadan avainluvun listalta.
En ymmärrä, mitä "lisäturvallisuutta"  tuo se, että laskunmaksun yhteydessä on syötettävä vaihtuva avainluku. Sitä paitsi, ne yksi tai kaksi huijaustapausta, jota tällä ehkä vältetään, kostautuvat ärsyyntyneinä asiakkaina sekä nopeammin kuluvina avainlukulistoina (kyllä, avainlukulistojen postituskin maksaa).

10 kommenttia:

  1. Suosittelen ahvenanmaalaisten kehittämää verkkopankkia, joka on käytössä Ålandsbankenissa, Tapiolassa ja S-Pankissa. Siinä on lapussa noin 100 kertakäyttösalasanaa, joten niitä ei voi urkkia edes pidempään keyloggeria käyttämällä. Koodi kuluu sisään kirjautuessa ja toinen hyväksymällä maksuja.

    Sinänsä sen toisen koodin kysyminen on ihan fiksua, koska rootkitin avulla voidaan sinun verkkopankkeilusi aikana lisätä sekaan uusia maksuja, jotka sitten hyväksytään ilman mitään kyselyä. Kun maksujen hyväksyntä edellyttää kertakäyttökoodin, ei väliin voi enää injektoida ylimääräisiä maksuja.

    VastaaPoista
  2. Äkkiä ajatellen ainakin sen lisäturvallisuuden, että jos unohtaa logata ulos, niin satunnainen koneelle osuva ei pysty välittömästi siirtämään rahoja muualle. Tuo se vähän mokaturvallisuutta julkiselta masiinalta verkkopankkia käyttävälle. Isommaksi syyksi niiden olemassaololle epäilen kuitenkin sitä, että se lisää nimenomaan asiakkaiden turvallisuudentunnetta, että maksaessa kysytään vielä uudestaan.

    Tämän tulkinnan ainakin olen Nordean käyttäjänä tehnyt, siellä kun ne laskunmaksuvarmistusluvut eivät kulu.

    Nordeassa ainakin pystyy muuten näpyttelemään monta laskua sisään ensin ja sitten varmistamaan kaikki kerralla. Ei ainakaan ihan niin paljon tarvitse näpytellä.

    VastaaPoista
  3. Vuosia sitten Säästöpankilla oli erinomainen ominaisuus, että pelkän tiliotteen pystyi tarkistamaan käyttäjätunnuksella ja pysyvällä salasanalla, mutta nyt sekin vaatii kertakäyttösalasanan etsimisen pahvilapusta. Yleisesti ottaen en pitäisi huonona kehityssuuntana, että turvallisuustaso olisi oletusarvoisesti varsin tiukka, mutta käyttäjä pystyisi halutessaan itse lieventämään tiettyjä rajoituksia verkkopankin asetuksista.

    VastaaPoista
  4. Eiiii olen niin antiodottanut tätä!

    Kännykänkin mobiilipankki oli ennen niin kätevä (nyt kieltäytyi toimimasta ennen päivitystä).

    Nettipankki loggaa aika nopeasti idlaavan käyttäjän ulos, joten en ole pelännyt selaimen auki jäämistä.

    Jotain hyvääkin: En ole Nordean ärsyttävän nettipankin vuoksi halunnut vaihtaa Nordeaan, vaikka muita syitä vaihtoon olisi ollut. Nyt voin vaihtaa.

    VastaaPoista
  5. Itselläni käytössä olleissa pankeissa (Sampo ja S-pankki) on aina vaadittu maksun vahvistus kertakäyttösalasanalla.

    Kaikki laskut tosiaan voi vahvistaa yhdellä kertaa, joten en koe, että se olennaisesti hankaloittaisi mitään. Sen sijaan se mahdollistaa sen, että laskuja voi viedä "muistiin" verkkopankkiin niin, että laskun tiedot eräpäivineen ovat siellä tallessa, jos vaikka itse paperi sattuu hukkumaan tai ei ole mukana, kun laskun haluaisi maksaa. Itsestäni tuntuisi lisäksi aika turvattomalta, jos lasku menisi maksuun ilman vahvistusta, jolloin se helpommin tapahtuisi vahingossa, vaikka olisi tehnyt näppäily- tai ajatusvirheen. Maksujen syöttäminen ensin pankkiin ja koko listan tarkastelu ennen vahvistamista mahdollistaa myös sen, että palvelu kertoo, paljonko kaikkien laskujen maksaminen tulee yhteensä maksamaan (voihan sen itsekin laskea, mutta kätevää on silti), jolloin voi tarvittaessa jättää osan maksamatta tai siirtää eräpäivää.

    Jos nykyisin käyttämästäni S-pankista poistettaisiin maksujen vahvistus, se olisi mielestäni merkittävä huononnus.

    VastaaPoista
  6. Yritetäänköhän maksujen avainluku-vahvistuksella estää seuraava:
    - Käyttäjä loggaa sisään OP:n verkkopankkiin (avainluvulla)
    - Käyttäjä pyörii aikansa verkkopankissa
    - Kun pankkiasiat on hoidettu, käyttäjä klikkaa sähköpostistaan auki linkin, joka avautuu verkkopankki-istunnon päälle. Ts. käyttäjä avaa uuden sivun lopettamatta verkkopankki-istuntoa (kirjautumatta ulos).
    - Vahingollinen sivusto näkee käyttäjän tulleen verkkopankki-URL:sta. URL:n avulla voi päästä jatkamaan verkkopankki-istuntoa - ja vaikka siirtämään rahat Bahamalle - jos maksuja ei ole
    varmistettu avainluvulla.

    Em. takia maksujen varmistaminen on periaatteessa ok. Sitä vastoin en ymmärrä, miksi avainlukua vaaditaan kirjauduttaessa verkkopankkiin? Aikaisemmin esim. pörssikurssit tai tilin saldon pääsi tarkistamaan ilman avainlukua. Kaikkiin operaatioihin - ts. muuhun kuin tietojen katseluun - vaadittiin avainluku-tunnistautumista.

    VastaaPoista
  7. Nyt on pojat tulleet järkiinsä, OP:n verkkopankissa näkyy kirjautumisen jälkeen:
    "Laskujen maksaminen uudistuu OP-verkkopalvelussa 28.3. alkaen. Voit hyväksyä useamman maksun yhdellä avainluvulla saman istunnon aikana, ja samalla e-laskujen tilaaminen helpottuu.

    Maksat verkkopalvelussa maksuja kuten tähänkin asti, mutta niiden hyväksyminen helpottuu. Uudistuksen jälkeen voit syöttää useamman maksun, ja vasta sen jälkeen hyväksyä koko nipun kerralla yhdellä avainluvulla.

    Jos jätät istunnon aikana tehdyt maksut hyväksymättä, verkkopalvelun etusivulla muistutetaan sinua hyväksymättömistä maksuista, kun seuraavan kerran kirjaudut sisään. Hyväksymättä jääneet maksut löydät myös Tilit ja maksut -osiosta.

    Maksujen kuittaaminen yhdellä avainluvulla koskee sekä henkilö- että yritysasiakkaita, jotka käyttävät OP-verkkopalvelua."

    VastaaPoista
  8. Ei koske E-laskulla maksavia!
    Sama kikkailu jatkuu noilla avainluvuilla, jos laskut tulevat sähköisenä!
    Eli joka E-laskun jälkeen kysyy uutta avainlukua!
    Tuo "parannus" siis koskee vain paperilaskuja.

    VastaaPoista
  9. Laskujen maksaminen ei kuluta avainlukulistan lukuja. Eli avainlukulistan luvut eivät ole kertakäyttöisiä. Parantaako se sitten jotenkin turvallisuutta?

    VastaaPoista
  10. Itse jouduin kanssa tohon lisävahvistus rumbaan kanssa. Vähän se välillä nostaa verenpainetta, ettenkin kun mun vuokra on jo neljättä tai viidettä (sekosin laskuista) kertaa laitettu odottamaan revontulia, tai sitten sitä että kävelen sen op:n päätteeltä maksamaan.

    Ei ollu kovin helppoa uskotella vuokraisännälle ettei nykyään todellakaan pankit maksa laskua tililtä, vaikka siellä on katetta. :(

    Ei haluais vaihtaa pankkia, mutta kun ei ne enää kuuntele omistaja-asiakasta. Eikä pankkia mielellään vaihtais, kun siihen on kuitenkin yhtä vanha suhde, kuin vanhempiini.

    Mut tohon niitten palveluun(sig).

    Se kai mitä tossa pyritään, on että jotta käyttäjän rahoihin päästään käsiksi, pitäis rikollisten käyttämien ohjelmien olla pitkään koneessa, jolloin hyökkäysajan pitkittyessä mahdollisesti antivirus ja vastaavat löytäis ja poistais ne koneesta.

    Toinen on se että niinkauan, kun älypuhelimista luovutaan niin toi tekstiviesti reitti on ihan toimiva, koska hyökkääjä ei pääse siihen siirtotiehen kovin helposti käsiksi.

    Ja ongelma on kanssa se että ainakin viimeiset versiot firefoxista ja chromesta on ollu sellasia, että jos selain kaatuu, niin uudelleenkäynnistettyään _ei välttämättä_ tarvitse kirjautua uudelleen, vaan on mahdollista jatkaa sitä samaa "sessiota". Kätevä toisaalta, ja turvaton toisaalta.

    --ama

    VastaaPoista